【法務NAVIまとめ】サイバー攻撃対策についてのまとめ (2016/1/14 企業法務ナビ)
1.はじめに
メールやサイトを開くことでウイルスに感染させ、企業へダメージを当てるサイバー攻撃。国内では日本年金機構が125万件の個人情報を流出した事件などが記憶に新しい。
◆日本年金機構情報漏洩事件
http://itpro.nikkeibp.co.jp/atcl/column/14/346926/082400321/
◆日本年金機構情報漏洩事件の報告(簡易版)
http://www.nisc.go.jp/conference/cs/taisaku/ciso/dai03/pdf/03shiryou01.pdf
◆日本年金機構情報漏洩事件に関する調原因究明調査結果(詳細)
http://www.nisc.go.jp/active/kihon/pdf/incident_report.pdf
IoTの有用性やビッグデータの必要性が説かれる一方で、いつ自社がサイバーテロの標的にされるか分からない時代になってきた。そこで今一度企業がサイバー攻撃について知っておくべきことについて確認したい。
2.サイバー攻撃の種類
主な攻撃方法は2種類である。
(1)サービス停止攻撃(Dos、DDos)
過剰な付加をかけてシステムをダウンさせたり、端末や通信機器の脆弱性を攻撃するなどしてサービス提供を妨害する方法。DoSとは「Denial of Service attack」の略。攻撃側が複数の機器を用いるものはDDoS(Distributed Denial of Service attack)という。攻撃の種類は多岐にわたる。
◆DoS、DDoS攻撃について
https://www.ipa.go.jp/security/fy14/contents/soho/html/chap1/dos.html
◆Dos/DDoS攻撃対策について(警察庁)
https://www.npa.go.jp/cyberpolice/server/rd_env/pdf/DDoS_Inspection.pdf
◆Dos攻撃(マルウェア情報局・Canon)
http://canon-its.jp/eset/malware_info/term/ta/003.html
(2)標的型攻撃
様々な手法を複合的に用いて、個人や企業など特定の相手の情報を詐取・破壊する方法。メールや悪意のあるサイトへの誘導を用いてマルウェアに感染させるなどの手法がとられる。最近では業務における通信を利用したソーシャルエンジニアリング的手法が用いられることもあり、攻撃を感知出来ないまま外部から内部ネットワークへ感染していることもしばしばである。代表的な手段はフィッシングメール+不正プログラムの組み合わせによる情報の取得や管理者権限の乗っ取りを行うものである。
◆標的攻撃型(マルウェア情報局・Canon)
http://canon-its.jp/eset/malware_info/term/ha/003.html
3.企業内での対策
業種によってシステムや企業内の情報が異なるため、サイバー攻撃に対する意識の差が一定程度生じていると考えられるが、日本年金機構の情報漏洩事件の失敗から学ぶべきは概ね以下の事柄であるといえる。
- (1)組織内でのシステム利用方法の徹底(共有フォルダに情報を放置しない、など)
- (2)システム運用に関する多層的な技術的な防御策の構築(モニタリング、入口対策・内部対策・出口対策)
- (3)異常事態に対応出来る権限を持った責任者・技術者の配置(人的対策)
- (4)セキュリティポリシーやマニュアルの策定
尤も人材や予算の都合上、万全の対策が取れていると全ての企業が豪語できるわけではない。縦割りの部署・管轄しかし情報漏洩がもたらす企業価値の毀損は絶大であることは疑いようがない。従業員はもちろん株主や取引関係者にまで深刻な打撃を与える。そこで、コンプライアンスという点からは、システムそのものの構築は難しいかもしれないが、専門的な管理部門の設置及び技術者との連携を密にすること、社内における情報リテラシーの指導の徹底等を定期的かつ継続的に実践することが求められる。以下に、東芝ソリューション株式会社における具体的な社内での情報セキュリティにおけるコンプライアンス・モデルを提供するので参考にされたい。
◆サイバーセキュリティ戦略本部第3回会合・議事概要における指摘(平成27年7月23日)
http://www.nisc.go.jp/conference/cs/dai03/pdf/03gijigaiyou.pdf
◆日本年金機構における不正システムによる情報流出事案検証委員会における指摘(平成27年8月21日)
http://www.mhlw.go.jp/kinkyu/dl/houdouhappyou_150821-02.pdf
◆企業のほとんどは対策が不十分(平成23年11月18日)
http://itpro.nikkeibp.co.jp/article/COLUMN/20131114/518184/
◆東芝ソリューション株式会社におけるコンプライアンス・モデル
http://www.toshiba-sol.co.jp/company/csr/jp/management/compliance.htm
4.終わりに
企業には基本的なルール策定と周知・実践の徹底が求められる。だがサイバー攻撃は日々進化しており、迅速に対応するためには、どのような攻撃が仕掛けられるのかという情報を入手する必要がある。国内企業は14日付けで異業種横断的な「産業横断サイバーセキュリティ人材育成検討会」と称する組織を立ち上げる。
動き出しは昨年4月に遡り、
(1)専門的な人材育成ツール
(2)情報共有の仕組みの作成
(3)大学等との連携による将来的な人材の育成
を目的としている。
まずは各業界大手の企業によるスタートを切り、追って加盟企業を広げる考えであり、新しい時代のサイバー対策としての期待が高まる。
◆サイバー攻撃対策、異業種連携 トヨタ・ソニーなど40社(1月14日付日本経済新聞)
http://www.nikkei.com/article/DGXLZO96085140U6A110C1TJC000/
◆産業横断サイバーセキュリティ人材育成検討会についてのインタビュー(6月時点)
http://www.sankei.com/economy/news/150608/ecn1506080034-n1.html
また、経済産業省が、国として初めて経営者に対する指針(サイバーセキュリティ経営ガイドライン)を示したので是非そちらも参照されたい。
◆サイバーセキュリティ経営ガイドライン(案)
http://search.e-gov.go.jp/servlet/Public?CLASSNAME=PCMMSTDETAIL&id=595215022&Mode=0